Domain Admins and permission problem

**rootnt** · 05-01-2009, 18:09

سلام بر دوستان عزیز
جستجو کردم و چیزی پیدا نکردم
مشکلم اینه که ...
بابا این ویندوز شما چرا اینجوریه؟

این خروجی رو ببینید:

همونطور که ملاحظه می کنید دو یوزر root و domadm در داخل گروه آشنای domain admins هستند
و من هم با یوزر domadm لوگین کردم
در نتیجه باید دسترسی کامل داشته باشم به سیستم
ولی نداره
با این یوزر نه می تونم تنظمات شبکه رو تغییر بدم ، نه برنامه نصب کنم و نه هیچ کار مدیریتی دیگه
به نظر شما چرا اینطوریه؟

**rozbeh85** · 06-01-2009, 12:05

Domain Admin تا اونجایی که یادم میاد فقط میتواند به یوزر ها و اعمال آنها و اضافه کردن آنها دسترسی داشته باشه
نه چیز دیگر
مطمئن نیستم باید ببینم
اگه ضروری بود پ.خ بده نگاه کنم

**paranoid_android** · 06-01-2009, 13:30

domain admin نسبت به دومین خودش دسترسی full control داره و میتونه همه کار انجام بده. حالا ممکنه شما دو تا دومین متفاوت داری یعنی میخوای از دومینت به یه سیستم دیگه در دومین دیگه دسترسی داشته باشی که اون موقع با domain admin نمیشه و باید enterprise admin باشی. اگه امکان داره با خود Administrators یا enterprise admins لاگین کنید بینید باز هم محدودیت دارید یا خیر.
البته در مورد ارتباط سیستم های مایکروسافتی با غیر مایکروسافتی اطلاعات زیادی اطلاع ندارم!

**rootnt** · 06-01-2009, 19:14

نوشته شده توسط rozbeh85 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

Domain Admin تا اونجایی که یادم میاد فقط میتواند به یوزر ها و اعمال آنها و اضافه کردن آنها دسترسی داشته باشه
نه چیز دیگر
مطمئن نیستم باید ببینم
اگه ضروری بود پ.خ بده نگاه کنم

در این مورد مطلب زیاد خوندم
تو کتاب سامبا گفته دسترسی کامل داری

نوشته شده توسط paranoid_android [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

domain admin نسبت به دومین خودش دسترسی full control داره و میتونه همه کار انجام بده. حالا ممکنه شما دو تا دومین متفاوت داری یعنی میخوای از دومینت به یه سیستم دیگه در دومین دیگه دسترسی داشته باشی که اون موقع با domain admin نمیشه و باید enterprise admin باشی. اگه امکان داره با خود Administrators یا enterprise admins لاگین کنید بینید باز هم محدودیت دارید یا خیر.
البته در مورد ارتباط سیستم های مایکروسافتی با غیر مایکروسافتی اطلاعات زیادی اطلاع ندارم!

نه یه دامین بیشتر نیست
یه سروره که سرویس ldap رو با سرویس دهنده سامبا روش راه اندازی کردم
همه چیز هم درست و همونطور که انتظار داشتم و باید باشه هست
خیلی راحت کلاینتها به سرور جوین می شن و گروهها و یوزر نیم ها همه درسته
فقط نمی دونم چرا اعضای گروه domain admins دسترسی ندارن
انگار که گروه دامین ادمینز جزء گروه administrators نیست

فعلا جرات نکردم همه کلاینتها رو ببرم رو دامین
هر چقدر تنظیمات رو نگاه کردم اشتباهی ندیدم
اگر کمک کنید ممنون می شم

**paranoid_android** · 06-01-2009, 20:53

من اینجا یه چیزایی پیدا کردم که کاربران دیگه samba به مشکلات مشابه شما با گروه domain admins اشاره کردن. در مورد یک باگ از طرف OpenLDAP صحبت شده:

:(samba group rights problem (Domain Admins not working

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

امیدوارم به درد بخور باشه.

اگه باز هم با مشکل مواجه شدید از خود گروه Enterprise Admins یا Administrators استفاده کنید.

**rootnt** · 07-01-2009, 17:17

خیلی ممنون
انشاالله یکشنبه برم چند تا چیزو چک کنم ببینم چی می شه بهت خبر می دم

ولی منظورتو از اینکه از خود گروه enterprise Admins یا Administrators استفاده کنید رو نفهمیدم
یعنی چطوری؟

**paranoid_android** · 07-01-2009, 18:48

نوشته شده توسط rootnt [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

خیلی ممنون
انشاالله یکشنبه برم چند تا چیزو چک کنم ببینم چی می شه بهت خبر می دم

ولی منظورتو از اینکه از خود گروه enterprise Admins یا Administrators استفاده کنید رو نفهمیدم
یعنی چطوری؟

خواهش می کنم.
ببینید، ما توی سرویس Active Directory که روی ویندوز سرور نصب میشه گروه ها و یوزرهای مختلفی رو داریم که گروه enterprise admin یکی از اینهاست و فرقش با domain admins در اینه که گروه DA فقط در محدوده یه دومین دسترسی کامل داره و enterprise admins به کل forest میتونه دسترسی کامل داشته باشه (forest مجموع تمامی دومین ها و domain tree هایی هستن که بطور منطقی باهم در ارتباط هستن).
وقتی شما فقط یک domain داری در عمل تفاوتی بین گروه domain admins و enterprise admins وجود نداره چون در واقع یک forest با یک tree ی تک دومینی داری! این گروه ها به سه دسته: Built-in groups و Predefined groups و special groups تقسیم میشن که گروه های مرتبط با دومین یعنی Domain Admins و Enterprise Admins جزو Predefined هستن. گروه Administrators هم یه گروه Built-in ه که همه گروه هایی که اسم بردم + کلی گروه تعریف شده دیگه زیر مجموعه اون هستن و وجود همین گروه ها هستش که باعث شده به یه غول تبدیل بشه!

سرویسی به اسم LDAP که شما ازش استفاده میکنید در واقع قلب همین Active Directory ه و به عنوان یه پروتکل برای ما عمل میکنه. AD در واقع چیزی نیس جز همین LDAP + پروتکلی به اسم Kerberous که در مورد authentication ای که توسط دستگاه Domain Controller (منظور کامپیوتری که روش سرویس Active Directory نصبه) صورت میگیره حکم میکنه.

تو این لینک همه چیز در مورد گروه ها نوشته شده:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

موفق باشی استاد

**rootnt** · 09-01-2009, 01:53

خوب می دونی خوشبختانه یا متاسفانه اکتیو دایرکتوری با این سیستم دامینی که من راه انداختم و البته استاندارده و زیاد هم استفاده می شه فرق می کنه و چون من هم تا حالا موقعیتی برام پیش نیومده که ۲ دامین در یک شبکه داشته باشم از اون Enterprise Admin چیزی نمی دونم
حدس می زنم مشکل در مپ کردن گروهها باشه و در rid و gid ها یه اشتباهی کرده باشم
به هر حال ممنون از لینک
برم ببینم چی نوشته

**rootnt** · 12-01-2009, 13:37

سلام
ممنون دوست عزیز
مشکل از همون map کردن گروه ها بین لینوکس و ویندوز بود
من زدم اتومات rid و GIDها رو بده ولی یا ویندوز یا لینوکس خنگ تر از این صبحبتاست و درست نبود
خودم دستی درستش کردم و همه چیز درست شد

**paranoid_android** · 12-01-2009, 16:26

نوشته شده توسط rootnt [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام
ممنون دوست عزیز
مشکل از همون map کردن گروه ها بین لینوکس و ویندوز بود
من زدم اتومات rid و gidها رو بده ولی یا ویندوز یا لینوکس خنگ تر از این صبحبتاست و درست نبود
خودم دستی درستش کردم و همه چیز درست شد

سلام.
خوشحالم

موفق باشی.

نام تاپيک: Domain Admins and permission problem

اختيارات تاپيک

Domain Admins and permission problem

2 کاربر از paranoid_android بخاطر این مطلب مفید تشکر کرده اند

این کاربر از rootnt بخاطر این مطلب مفید تشکر کرده است

Thread Information

Users Browsing this Thread

User Tag List

قوانين ايجاد تاپيک در انجمن